Marek <f...@f...com> napisał(a):
> Szybko. Są za darmo signed akceptowane przez przeglądarki. Certyfikat nie
> ma żadnej wartości.

Ma, potwierdza domenę.

> Moja przeglądarka akceptuje wszystkie. Nie odróżnia selfsigned od innych.

To masz jakąś popsutą, zaprzestań jej używania.

> Nie musi byc selfsigned. Wystarczy zwykły za darmo. Certyfikat nie ma dla
> niej żadnej wartości.

Doczytaj zamiast powtarzać ciągle to samo.

> ROTFL ale żeś palnął, nie kompromituj się.Sam przed szyfrowaniem mogę
> sobie zamienić kontent w przeglądarce z 10 dolarów na 10 milionów. Mogę
> zamienić nr konta. Dokładnie tak działały złośliwe "pluginy" do
> przeglądarek. Zamieniały numery kont, podstawialy inne. I szyfrowanie w
> niczym ofierze nie pomogło. Obrona przed tego typu takimi nie leży w
> szyfrowaniu. Przestań bredzić.

Masz rację, szyfrowanie tutaj nie pomaga. Tylko co z tego? To nie jest żaden
argument ani dowód na to, że Mirek się skompromitował. Ataki są bardzo różne
i jest oczywiste, że dane zabezpieczenie nie pomoże na wszystkie.

--
Grzegorz Niemirowski
https://www.grzegorz.net/

do góry

Marek <f...@f...com> napisał(a):
> Czy kompromitują SSL? Oczywiście nie,

A naprodukowałeś postów jakby SSL został skompromitowany i jeszcze dodajesz
bajki o self-signed.

> ale sprowadzają z powrotem problem do początku, w którym "bezpieczeństwo
> połączenia" (którym się tak fascynujesz) czy "prawidłowy certyfikat" przy
> fraduach nie odgrywa żadnego znaczenia.

Odgrywa na tyle, na ile może. W jednych przypadkach pomaga, w innych nie. To
zależy też od świadomości danego użytkownika. Nie wiem czemu się tak
uwziąłeś na ten SSL.

--
Grzegorz Niemirowski
https://www.grzegorz.net/

do góry

W dniu 20.08.2022 o 18:28, Marek pisze:
> On Sat, 20 Aug 2022 11:26:45 +0200, Mirek <m...@n...dev> wrote:
>> Bzdury totalne.
>> Strony phishingowe mogły mieć prawidłowy certyfikat na swojej domenie
>> _podobnej_ do atakowanej.
>> Że ofiara nie sprawdziła z czym się łączy to już nic nie poradzę.
>
> Serio? Dopiero teraz zauważyłeś  o czym jest dyskusja? Nie dyskutujemy
> jak działa technicznie SSL/certyfikacja tylko jak to się *nie* sprawdza
> obecnie w praktyce. 100% oszukanych nie zwróciło uwagi na literówkę czy
> podobieństwo domeny, bo tego nie ogarniają, ergo dla nich całe
> certyfikacja i zaufanie o kant dupy potłuc bo to się rozpada na
> pierwszym takim użytkowniku. 100%! To jest skuteczność. Słyszałeś o tym,
> żeby chociaż 10% ofiar nie dało się oszukać bo zauważyli niezgodność
> nazwy z oczekiwaną?
> Jest nawet piękny film na yt pewnego użytkownika, który pokazuje z
> goryczą w głosie kłódkę, EVkę a mimo to  "plugin" ściągnął całą kasę z
> kego konta. I co teraz?  Może zaproponujesz  paradygmat małpy z brzytwą
> i rzucisz postulatem: "Internet tylko dla ludzi ogrniętych, którzy
> umieją zweryfikować wiarygodność domeny i certyfikatu!"?
> Problem "podobnych" domen to nie wszystko.
> Istnieją ataki na DNS (zatruwanie) czy ataki na router usera, w efekcie
> którego można go "przekierować" na serwer z prawidłową nazwą i
> prawidłowym (zwykłym) certyfikacie, uważasz, że jak ktoś nie odróżnia
> mbank.pl od mbnk.pl to zwróci uwagę, że teraz mbank.pl nie ma EV?
>
> Idźmy dalej. Wątek rozpoczął się od oszustów tworzących *nowe* site'y, z
> których user korzysta pierwszy raz i nazwa domeny nie ma dla niego
> żadnego znaczenia.  User widząc kłódkę i prawidłowy certyfikat uznaje
> (bo mu tak 20 lat temu wpojono), że to "bezpieczna" strona, bo ktoś ją
> "zweryfikował" i wystawił certyfikat (zwykły, nie EV). A to bzdura na
> resorach. Oczywiście zorientowano się, że ta cała certyfikacja to lipa i
> wprowadzono EV.  Teraz wystarczy poczekać aż zdaży się jeden lub dwa
> przypadki, w których ktoś wyda EV z naruszeniem procedur ("bo co, nie da
> się? Potrzymaj mi piwo...") i zostanie wymyślony EV wersja druga,
> poprawiona. W której certyfikaty będą wydawane po oddaniu krwi i moczu.

EV is dead.

MJ

do góry

On Sat, 20 Aug 2022 23:04:53 +0200, "Grzegorz Niemirowski"
<g...@g...net> wrote:
> zależy też od świadomości danego użytkownika. Nie wiem czemu się
> tak
> uwziąłeś na ten SSL.

Nie uwziolem się na ssl, tylko na hype certyfikatowy.

--
Marek

do góry

On Sat, 20 Aug 2022 22:48:22 +0200, "Grzegorz Niemirowski"
<g...@g...net> wrote:
> Ma, potwierdza domenę.

I co z tego, że potwierdza? Domena jest używana przez przestępców,
jej nazwa czy jest prosta czy krzywa nie ma znaczenia bo zwykły user
nie zwraca na to uwagi, bo mu kiedyś powiedziano że jak jest kłódka
to jest OK.

--
Marek

do góry

On Sat, 20 Aug 2022 22:45:01 +0200, "Grzegorz Niemirowski"
<g...@g...net> wrote:
> Znaczy dużo. Już się o tym rozpisywałem, masz też ten temat
> objaśniony na
> wielu stronach, nie mówiąc już o książkach.

Co to za argument?? Przeczytaj, ze zrozumiem o czym jest dyskusja. To
nie poradnik jak działa https tylko współczesna problematyka
fraudów.
Jeszcze raz: 100% ofiar korzystało z prawidłowo zweryfikowanych stron
z SSL. Nie czytali tych książek? No szkoda...

> Powtórzę, masz zapewnione trzy rzeczy: poufność (szyfrowanie),
> integralność
> (nikt nie modyfikował danych po drodze) i niezaprzeczalność (wiesz,
> z kim
> wymieniasz dane).

To nie ma żadnego współcześnie znaczenia, bo pyaload można
skompromitować *przed* lub *po* albo po prostu namówić do tego bialko
przed klawiaturą. Nie powtarzaj w kółko banałów bo nie o tym
dyskusja.

> Zostaw te fraudy. Rozpowszechniony został mit, że HTTPS chroni
> przed
> fraudami.

Przypominam, że to jest wątek o fraudach a nie o wspaniałościach ssl.

--
Marek

do góry

On Sat, 20 Aug 2022 22:45:01 +0200, "Grzegorz Niemirowski"
<g...@g...net> wrote:
> Zostaw te fraudy. Rozpowszechniony został mit, że HTTPS chroni
> przed
> fraudami. Ale nie chroni i nigdy nie chronił, nie ma co już więcej
> o tym
> pisać.
>Chroni komunikację i robi to dobrze. Dodatkowo zapewnia
> uwierzytelnianie i to nawet dwóch stron.

I co to dało? Dzięki temu praktycznie przestano się interesować (jako
wektorem ataku) komunikacją. I slusznie ale nie z powodu, że się
nie da ale dlatego, że są ciekawsze miejsca jak dostęp do urządzenia
użytkownika. Okazało się że łatwo jest skompromitować samo urządzenie
i ma się dostęp do wszystkiego. Jakie to ma znaczenie i kogo
obchodzi, że kanał do banku jest szyfrowany jak ma się kontrolę nad
przeglądarką usera? Błagam. Onanizowanie się "chronionym kanałem
komunikacji" było modne 22 lata temu w czasach osiedlowych sieci i
wścibskich adminów. Dziś to tylko odprysk technologiczny, niewiele
przyczyniający się w skali globalnej do bezpieczeństwa kogokolwiek.
Stawiam dolary przeciwko orzechom, że gdyby wyłaczyć teraz wszędzie
https to nic by się nie zmieniło i mało kto by się tym zainteresował,
a poziom fraudow by się nie zmienił. O wiele ciekawsze rzeczy są na
urządzeniach niż zawartość ich komunikacji. Ba nawet teraz jest
mniej takich, co mają możliwość podglądania komunikacji niż ich było
22 lata temu.

--
Marek

do góry

wtorek, 16 sierpnia 2022 o 09:40:20 UTC+2 Marek napisał(a):
> I to w dobrych cenach:
>
> http://www.micro-semiconductor.com/
>
> Prawie złożyłem zamówienie...
>
> --
> Marek
Śmierdzi to jak diabeł siarką. Przykładowo XC6SLX45-2CSG324I podane są w cenie 22$,
podczas gdy
w czasach ogólnej dostępności kosztowały ok. 100$. Ponadto do koszyka nie da się
wrzucić, trzeba
wypełnić RFQ. I na stanie mają ponad 1600 szt. Nie wierzę!! Z ciekawości zapytałem o
10szt.
Zobaczymy co odpowiedzą...

do góry

On Sun, 21 Aug 2022 00:31:33 -0700 (PDT), Stachu Chebel
<s...@g...com> wrote:
> Śmierdzi to jak diabeł siarką. Przykładowo XC6SLX45-2CS

Na marginesie, działa też URL z ssl:
https://www.micro-semiconductor.com/

Śmierdzi?? No chyba żartujesz, przecież grupowi experci od unikania
fraudów rzekomo twierdzą, że wszystko jest w porządku bo strona ma
prawidłowy certyfikat (!!!). No przecież ktoś zweryfikował tą domenę
i podpisał się pod certyfikatem, legitne że hej.


> Zobaczymy co odpowiedzą...

Też z tymi dzbanami prowadzę dyskusję. Szukałem pewnego starocia.
Gdy to było 10 lat temu w sprzedaży warte było ~$20. Na eBayu można
teraz okazjonalnie dostać za $6 i $99 u tego samego sprzedawcy w
zależności, w którą jego aukcję się trafi (cwaniak ma dwie).
Na httpS://www.micro-semiconductor.com/ mają tego 16tys szt, Jerry
zaproponował cenę $62/szt. Po mojej sugestii, że złom tyle nie jest
wart lub może im się przecinek zgubił albo mieli na myśli 10szt
odpowiedzieli, że niestety nic nie da się zrobić, bo ogólnie kryzys,
inflacja i wakacji kredytowych u nich nie ma. Na razie na tym
stanęło.

--
Marek

do góry

On 21.08.2022 02:29, Marek wrote:

> usera?  Błagam. Onanizowanie się "chronionym kanałem komunikacji" było
> modne 22 lata temu w czasach osiedlowych sieci i wścibskich  adminów.

Jak się onanizujesz to przynajmniej zamknij drzwi.
Dobrze byś się czuł jakby twoja komunikacja z bankiem była widoczna dla
nawet legitnego i uczciwego admina?
Widział by wszystko, stan konta, komu wysyłasz, ile, nawet hasło mógłby
zobaczyć czasem.
Tylko zobaczyć no bo przecież jest uczciwy.
A teraz uświadom sobie, że wcale nie trzeba być adminem - wystarczy być
w tej samej sieci i prosta sztuczka z ARP albo podłożony DHCP i można
wszystko.
Na całe szczęście jest https i taka zabawa już nie przejdzie.

A żeby było jeszcze ciekawiej, to będąc w większej korporacji często
admini rozkodowują https w locie żeby filtrować strony pod względem
zawartości (nie ważne w tym momencie po co) - to wymaga zainstalowania
certyfikatów na komputerach użytkowników ale efekt jest taki, że łącząc
się ze stroną https tak naprawdę kodujesz ją dla firewalla, firewall
odkodowuje, sprawdza, zakodowuje ją dla serwera i wysyła. Z powrotem
analogicznie. I co?
No w sumie nic - będąc w korporacji zgadzasz się na jej zasady. ale
spokojnie, strony banków nie są rozkodowywane.

--
Mirek.

do góry